LINUX.ORG.RU

История изменений

Исправление sanyo1234, (текущая версия) :

китайского аналога с протрояненым закрытым блобом,

Как думаете, что именно в нем может быть протроянено?

Ослаблена безопасность например добавлением незадокументированного режима извлечения ключа буткитом прямо в рабочей системе (без физического доступа к смарткарте)?

Или даже активный троян, вплоть до манипуляции файловой системы пользовательского компьютера?

Можно ли как-то снизить риски путем помещения блоб драйвера в отдельную виртуалку и/или даже на отдельную железку (старенький одноплатник ARM v5-v7 )?

Как связать такое огороженное хранилище ключей со своей рабочей станцией? Вероятно есть какие-то софтовые решения для самодельного network HSM? Наверно внутри локалки можно было бы организовать доступ к такому HSM по другим смарткартам с меньшей длиной ключа? А ключ RSA4096 использовать только для внешних подключений. Но нужен какой-то проброс PCSCD до огороженной виртуалки.

Исправление sanyo1234, :

китайского аналога с протрояненым закрытым блобом,

Как думаете, что именно в нем может быть протроянено?

Ослаблена безопасность например добавлением незадокументированного режима извлечения ключа буткитом прямо в рабочей системе (без физического доступа к смарткарте)?

Или даже активный троян, вплоть до манипуляции файловой системы пользовательского компьютера?

Можно ли как-то снизить риски путем помещения блоб драйвера в отдельную виртуалку и/или даже на отдельную железку (старенький одноплатник)?

Как связать такое огороженное хранилище ключей со своей рабочей станцией? Вероятно есть какие-то софтовые решения для самодельного network HSM? Наверно внутри локалки можно было бы организовать доступ к такому HSM по другим смарткартам с меньшей длиной ключа? А ключ RSA4096 использовать только для внешних подключений. Но нужен какой-то проброс PCSCD до огороженной виртуалки.

Исходная версия sanyo1234, :

китайского аналога с протрояненым закрытым блобом,

Как думаете, что именно в нем может быть протроянено?

Ослаблена безопасность например добавлением незадокументированного режима извлечения ключа буткитом прямо в рабочей системе (без физического доступа к смарткарте)?

Или даже активный троян, вплоть до манипуляции файловой системы пользовательского компьютера?

Можно ли как-то снизить риски путем помещения блоб драйвера в отдельную виртуалку и/или даже на отдельную железку?

Как связать такое огороженное хранилище ключей со своей рабочей станцией? Вероятно есть какие-то софтовые решения для самодельного network HSM? Наверно внутри локалки можно было бы организовать доступ к такому HSM по другим смарткартам с меньшей длиной ключа? А ключ RSA4096 использовать только для внешних подключений. Но нужен какой-то проброс PCSCD до огороженной виртуалки.